Neue E-Privacy Verordnung
Die EU-Kommission veröffentlichte am 10.01.2017 einen ersten offiziellen Entwurf der E-Privacy-Verordnung, mit der die Cookie-Richtlinie aus dem Jahr 2009 ersetzt werden soll. Ziel ist es, einen besseren Schutz der Privatsphäre zu schaffen.
Die Verordnung soll im Mai 2018, zeitgleich mit der Datenschutzgrundverordnung (DSGVO), in Kraft treten und die DSGVO konkretisieren.
Unter anderem sieht die Verordnung eine Vereinfachung der Cookie-Regelung für die Verbraucher vor. Bisher gilt für die Verwendung von Cookies in Deutschland nach § 13 Abs. 1 S. 2 Telemediengesetz die sog. Opt-Out–Lösung. Dieser zufolge müssen die Nutzer durch das Unternehmen über die Verwendung von Cookies informiert werden und die Möglichkeit haben, der Verwendung zu widersprechen.
Dagegen verlangt die neue Verordnung die Verwendung der sog. Opt-In-Lösung, wonach die Nutzer für die Verwendung von Cookies eine ausdrückliche Zustimmung erteilen müssen. Ausgenommen von diesem Einwilligungserfordernis sind solche Cookies, die ausschließlich der Erbringung eines Telekommunikations- oder Internetdienstes oder der Messung des ‚Traffic‘ auf einer Website dienen.
Die Nutzer müssen auch jederzeit die Möglichkeit haben, ihre bereits erklärte Einwilligung zu widerrufen.
Des Weiteren erachtet die Verordnung für jede Art von kommerzieller Kommunikation die vorherige Erteilung einer Einwilligung als erforderlich. Bei Marketing-Anrufen muss dem Kunden die Möglichkeit gegeben werden, ungewollte Werbeanrufe zu blockieren.
Der Entwurf regelt auch die elektronische Kommunikation zwischen Maschinen („Internet of Things“) und stellt sicher, dass die durch das Endgerät der Nutzer erhobenen Daten als personenbezogene Daten im Sinne der DSGVO zu bewerten sind, sodass die E-Privacy Verordnung auch auf die Kommunikation zwischen den Maschinen anwendbar ist. Die Erhebung der Daten im Laufe der Maschine-Maschine Kommunikation ist laut Verordnung verboten, außer, wenn die Daten für die Herstellung des Verbindungsaufbaus zwischen diesen Maschinen genutzt werden.
Ähnlich wie die DSGVO sieht auch die E-Privacy Verordnung scharfe Sanktionen vor. Für Verstöße gegen die Verordnungsvorgaben kann ein Bußgeld bis zu 20 Mio. EUR oder 4% des weltweiten Jahresumsatzes eines Unternehmens erhoben werden.
Für die Durchsetzung der Verordnung sind die gleichen Datenschutzbehörden wie für die Durchsetzung der DSGVO zuständig.
Die Verordnung überlässt den Mitgliedstaaten zwar einen bestimmten Spielraum bezüglich der Cookie-Regelung, jedoch müssen sehr strenge Voraussetzungen erfüllt werden. Eine Abweichung ist nur dann möglich, wenn sie verhältnismäßig ist, dem Schutz fundamentaler Rechtsgüter dient und den Kerngehalt der Regelung nicht verletzt.
Über den Entwurf wird zurzeit zwischen dem EU-Parlament und dem Europäischen Rat hinsichtlich eventueller Veränderungen verhandelt. Erst wenn sich beide Institutionen geeinigt haben, wird die Verordnung verabschiedet und gilt dann auch unmittelbar, ohne weiteren Umsetzungsakte in nationales Recht.